I benefici della digitalizzazione del medicale sono immensi a patto che le installazioni siano tutelate dalle minacce dei criminali informatici

Il monito della FDA

Future Health

Digitale, BYOD, Internet of Things e mobilità sono tendenze oramai consolidate anche presso le istituzioni sanitarie più all’avanguardia. E si capisce come abbiano raggiunto la massa critica quando se ne occupa la Food and Drug Administration (FDA), l’organizzazione sanitaria americana che ha recentemente lanciato una serie di avvertimenti in merito alla tutela della sicurezza delle apparecchiature e dei pazienti. Con tanto di elenco dei rischi:

  • Apparecchi medici infettati o disabilitati da malware
  • Malware residente su computer, smartphone e tablet presso l’ospedale, capace di attaccare apparecchi mobili tramite connessioni wireless e accedere a dati clinici, sistemi di monitoraggio e apparecchi impiantati nei pazienti
  • Distribuzione incontrollata di password, password disabilitate, password di serie relative a software riservato a personale amministrativo, tecnico e di supporto con accesso privilegiato
  • Incapacità di effettuare tempestivamente aggiornamenti software su reti e apparecchi medici, nonché di circoscrivere le vulnerabilità di modelli più vecchi degli apparecchi (legacy)
  • Sicurezza insufficiente in software commerciale progettato per prevenire accesso non autorizzato ad apparecchi e reti, legata a password solo testuali o assenti, password di serie, account di servizio documentati nella manualistica e codice di scarsa qualità soggetto ad attacchi

Quando la password è quella nota

Medical Devices

Uno dei problemi maggiori, comune all’ambito healthcare come ovunque vengano usati sistemi SCADA (Supervisory Control and Data Acquisition, acquisizione di dati e controllo di supervisione) è sicuramente quello delle password di serie, cosiddette hardcoded, presenti nell’apparecchio all’atto dell’acquisto e che non vengono modificate dal personale. Queste password sono ovviamente note a chiunque compia uno sforzo minimo di documentazione e, se rimangono quelle di fabbrica, costituiscono un rischio di sicurezza consistente.

ICS-CERT – Industrial Control Systems Cyber Emergency Response Team – ha diffuso una nota specifica in merito alle password di fabbrica sugli apparecchi medici, nella quali i ricercatori Billy Rios e Terry McCorkie accennano a una vulnerabilità particolare che interessa circa 300 apparecchi di circa quaranta produttori,

I dispositivi a rischio comprendono – tra gli altri – apparecchiature per l’anestesia e la chirurgia, ventilatori, pompe per la microinfusione di farmaci, defibrillatori, monitor da corsia e vario equipaggiamento di laboratorio.

L’hacker dell’insulina

Connected Doctors

La problematica della sicurezza degli apparecchi medici è esplosa sui media nel 2011, quando Jerome Radcliffe, diabetico ed esperto di informatica, ha dimostrato durante il convegno Black Hat Technical Security come prendere il controllo di una pompa di insulina anche a distanza, riprogrammando il telecomando che aziona la pompa; un attacco che in linea teorica può funzionare anche a cinquanta metri di distanza senza apparecchiature particolari e, con impegno e un’antenna speciale, perfino da molte centinaia di metri.

Radcliffe ha inoltre dimostrato come intercettare il segnale wireless inviato dai suoi sensori di glucosio nel sangue verso apparecchiature per la visualizzazione dei dati e, trasmettendo un segnale analogo ma di intensità maggiore, ingannare il visualizzatore.

Servono competenze articolate

Per garantire la sicurezza degli apparecchi digitali e connessi all’interno delle infrastrutture medicali e ospedalieri è necessaria una competenza multiforme, capace di comprendere pienamente le esigenze della struttura, del personale medico e dei pazienti e, contemporaneamente, padroneggiare le apparecchiature e in special modo il loro dispiegamento e supporto.

Econocom rappresenta, grazie alle proprie soluzioni e alle forti competenze composite nel mondo delle grandi infrastrutture e delle apparecchiature digitali, un interlocutore ideale per procedere all’implementazione nell’ambito medico di soluzioni complete, pay-per-use e soprattutto sicure per la digitalizzazione dei servizi medici di cura e supporto al paziente.

Per approfondire